Advanced Intrusion Detection Environment (AIDE) adalah metode lain untuk mendeteksi anomali dalam sistem. AIDE tidak boleh bingung dengan sistem Deteksi Intrusi yang lebih dikenal seperti OSSEC atau Snort yang untuk mendeteksi serangan atau peristiwa keamanan menganalisis lalu lintas mencari paket anomali.
Berlawanan dengan Intrusion Detection Systems (Biasanya disebut sebagai IDS), Advanced Intrusion Detection Environment (Dikenal sebagai AIDE) memeriksa integritas file dengan membandingkan informasi dan atribut file sistem dengan database yang awalnya dibuat.
Pertama, ia membuat database sistem yang sehat untuk kemudian membandingkan integritas menggunakan algoritme sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool dengan integrasi opsional untuk gost, haval, dan cr32b. Tentu saja AIDE mendukung pemantauan jarak jauh.
Bersama dengan informasi file, AIDE memeriksa atribut file seperti jenis file, izin, GID, UID, ukuran, nama tautan, jumlah blok, jumlah tautan, mtime, ctime dan atime dan atribut yang dihasilkan oleh XAttrs, SELinux, Posix ACL dan Extended. Dengan AIDE dimungkinkan untuk menentukan file dan direktori yang akan dikecualikan atau disertakan dalam tugas pemantauan.
Setup dan konfigurasi: Instal Lingkungan Deteksi Intrusi Tingkat Lanjut di Debian
Untuk memulai dengan menginstal AIDE pada Debian dan distribusi Linux turunan jalankan:
# apt install aide-common -y
Setelah menginstal AIDE, langkah pertama yang harus diikuti adalah membuat database pada sistem kesehatan Anda untuk dikontraskan dengan snapshot untuk memverifikasi integritas file.
Untuk membangun basis data awal, jalankan:
# sudo aideinit
Catatan: jika Anda memiliki database sebelumnya, AIDE akan menimpanya (permintaan konfirmasi sebelumnya), disarankan untuk melakukan verifikasi sebelum melanjutkan.
Proses ini dapat berlangsung beberapa menit hingga menampilkan output yang dapat Anda lihat di bawah
Seperti yang Anda lihat, database dibuat di /var/lib/aide/aide.db.new, di dalam direktori /var/lib/aide/ Anda juga akan melihat file bernama aide.db:
# aide.wrapper -c /etc/aide/aide.conf --check
Jika output 0 AIDE tidak menemukan masalah. Jika flag –check diterapkan maka arti keluaran yang mungkin adalah:
1 = File baru ditemukan di sistem.
2 = File telah dihapus dari sistem.
4 = File dalam sistem mengalami perubahan.
14 = Error penulisan error.
15 = Error argumen tidak valid.
16 = Error fungsi yang tidak diterapkan.
17 = Error konfi
gurasi tidak valid.
18 = error I/O.
19 = Error ketidakcocokan versi.
Opsi dan parameter AIDE meliputi:
–init atau-i: opsi ini menginisialisasi database, ini adalah eksekusi wajib sebelum pemeriksaan apa pun, pemeriksaan tidak akan berfungsi jika database tidak diinisialisasi terlebih dahulu.
–cek atau-C: ketika diterapkan opsi ini AIDE membandingkan file sistem dengan informasi database. Ini adalah opsi default yang diterapkan ketika AIDE dijalankan tanpa opsi.
–perbarui atau-u: opsi ini digunakan untuk memperbarui database.
–bandingkan : opsi ini digunakan untuk membandingkan database yang berbeda, database harus didefinisikan sebelumnya dalam file konfigurasi.
–konfigurasi-periksa atau-D: opsi ini berguna untuk menemukan error pada file konfigurasi, dengan menambahkan perintah ini AIDE hanya akan membaca konfigurasi tanpa melanjutkan proses dengan pemeriksaan file.
–konfigurasi atau-c = parameter ini berguna untuk menentukan file konfigurasi selain aide.conf.
–sebelum atau-B = tambahkan parameter konfigurasi sebelum membaca file konfigurasi.
–setelah atau-A = tambahkan parameter konfigurasi setelah membaca file konfigurasi.
–verbose atau-V = dengan perintah ini Anda dapat menentukan tingkat verbositas yang dapat ditentukan antara 0 dan 255.
–laporan atau-r = dengan opsi ini Anda dapat mengirim laporan hasil AIDE ke tujuan lain, Anda dapat mengulangi opsi ini dengan menginstruksikan AIDE untuk mengirim laporan ke tujuan yang berbeda.
Anda bisa mendapatkan informasi tambahan tentang ini dan lebih banyak lagi perintah dan opsi AIDE di halaman manual.
File Konfigurasi AIDE:
Konfigurasi AIDE dilakukan pada file konfigurasi yang terletak di dalam /etc/aide.conf, dari sana Anda dapat menentukan perilaku AIDE, di bawah ini Anda akan menjelaskan beberapa opsi yang paling populer:
Baris dalam file konfigurasi termasuk, di antara lebih banyak fungsi:
database_out: di sini Anda dapat menentukan lokasi db baru. Meskipun Anda dapat menentukan beberapa tujuan saat meluncurkan perintah, dalam file konfigurasi ini Anda hanya dapat menetapkan satu url.
database_new: url db sumber saat membandingkan database.
database_attrs: Checksum
database_add_metadata: menambahkan informasi tambahan sebagai komentar seperti pembuatan waktu db, dll.
verbose: di sini Anda dapat memasukkan nilai antara 0 dan 255 untuk menentukan tingkat verbositas.
report_url: url yang menentukan lokasi keluaran.
report_quiet: melewatkan output jika tidak ada perbedaan yang ditemukan.
gzip_dbout: di sini Anda dapat menentukan apakah db harus dikompresi (tergantung pada zlib).
warning_dead_symlinks: tentukan apakah symlink mati harus dilaporkan atau tidak.
grouped: file grup yang dilaporkan mengalami perubahan.
Instruksi lebih lanjut tentang opsi file konfigurasi tersedia di https://linux.die.net/man/5/aide.conf.
Saya harap Anda menemukan artikel tentang Setup Dan Konfigurasi Debian Linux Install Advanced Intrusion Detection Environment ini bermanfaat. Ikuti terus LinuxHint untuk tips dan pembaruan lainnya tentang Linux dan jaringan.
